Flash Loan Angriff 200 Millionen US-Dollar über PancakeBunny ergaunert
Moritz Draht

von Moritz Draht

Am · Lesezeit: 4 Minuten

Plüschhase liegt im Schnee

Quelle: Shutterstock

Teilen
Jetzt anhören
BTC42,524.00 $ 3.06%

Das DeFi-Protokoll PancakeBunny ist zur Zielscheibe eines Flash-Loan-Angriffs geworden. 200 Millionen US-Dollar wurden über das DeFi-Protokoll abgezogen. Der BUNNY-Token befindet sich nach der Attacke im freien Fall.

Von allen Coins, die es gestern zu Boden gerissen hat, zeigt sich einer besonders angeschlagen: PancakeBunny (BUNNY). Der native Token des gleichnamigen DeFi-Protokolls ist im Tagesvergleich um über 80 Prozent gefallen. Zur Stunde notiert BUNNY bei 28 US-Dollar und ist damit auf ein Bruchteil des jüngst aufgestellten Rekordhochs von 553 US-Dollar gefallen. Für den dramatischen Kurssturz verantwortlich war jedoch weniger die massive Abverkaufslawine, die den gesamten Krypto-Markt in die Knie gezwungen hat. Inmitten des größten Crashs seit über einem Jahr wurde der Yield-Aggregator zur Zielscheibe eines Flash Loan Angriffs, bei dem der BUNNY-Kurs innerhalb von Minuten von 150 auf 11 US-Dollar gedrückt wurde.


Wie funktionieren Flash Loans?

Flash Loans sind eine Geburt des DeFi-Ökosystems und im Grunde Kreditgeschäfte, bei denen Anleger die geliehenen Gelder noch in derselben Transaktion zurückzahlen. Klingt komisch, bietet aber einige Vorteile, insbesondere für Trader, die Kursdifferenzen an verschiedenen Handelsplätzen ausnutzen, Stichwort: Krypto-Arbitrage. Die komplexen Transaktionen wickeln sich innerhalb eines Smart Contracts ab: Gelder werden geliehen, genutzt und im Anschluss wieder zurückgezahlt.

Dabei müssen Nutzer keinen Collateral, also eine Sicherheit, hinterlegen, wie es bei Kreditgeschäften auf DeFi-Plattformen wie MakerDAO normalerweise üblich ist. Man spricht in dem Fall von unbesicherten Krediten. Da die geliehenen Gelder noch in derselben Transaktion zurückerstattet werden, gleicht das Prozedere für den Kreditgeber einem Nullsummenspiel.

Mit dem nötigen Know-how können sich Kreditnehmer jedoch mithilfe von Flash Loans in kurzer Zeit ordentlich die Wallet füllen. So lässt sich ein bestimmter Betrag leihen, mit dem beispielsweise Token auf einer Börse zu einem vergleichsweise niedrigen Kurs eingekauft werden, um sie an einer anderen Börse zu einem höheren Preis zu verkaufen. Im Anschluss zahlt der Kreditnehmer den geliehenen Betrag mit Zinsen zurück und streicht sich den Gewinn ein. Geht der geliehene Betrag nicht rechtzeitig zurück, wird die Transaktionen unterbrochen und der Kreditgeber erhält sein Geld wieder.


Angriff auf PancakeBunny

Da die Transaktion nicht zustande kommt, wenn der Kreditnehmer den geliehenen Betrag nicht deckeln kann, sind Flash Loans vergleichsweise risikofrei und ermöglichen auch Kleinanlegern den Handel mit großen Geldmengen. Doch so innovativ die Finanzinstrumente sind, öffnen sie gleichzeitig Marktmanipulationen Tür und Tor. Das Problem: Wegen mangelnder Liquidität sind dezentrale Börsen besonders anfällig für Preismanipulationen. Wandert in kurzer Zeit ein großer Betrag in Token, deren Marktkapitalisierung gering ist, steigen die Kurse sprunghaft an. Mit den überteuerten Token lässt sich auf anderen Plattformen dann der große Reibach machen.

Genau diesen Angriffsvektor hat sich ein gerissener Anleger bei PancakeBunny zunutze gemacht. Der genaue Ablauf lässt sich zwar noch nicht lückenlos rekonstruieren, Fakt ist aber, dass sich der Angreifer über die Binance-Smart-Chain-Börse PancakeSwap eine erhebliche Menge BNB per Flash Loan geliehen hat, um anschließend die Kurse der Wertepaare USDT/BNB und BUNNY/BNB zu manipulieren. Nachdem er den Kurs in die Höhe getrieben hat, verkaufte er alle BUNNY-Token, bevor er den Kredit wieder zurückzahlte. Der Kurs ging nach dem Pump in kurzer Zeit zu Boden. Für den Angreifer wiederum war es ein lohnendes Geschäft. Rund 200 Millionen US-Dollar soll er dadurch gemacht haben. PancakeBunny hat infolge Auszahlungen gestoppt und erklärt, dass die Einlagen der Nutzer sicher seien.

So ärgerlich der Vorfall vor allem für BUNNY-Anleger ist, rechtlich bewegen sich die Angreifer in einer Grauzone. Zwar braucht es für einen solchen Angriff schon ein ordentliches Maß an krimineller Energie. Doch anstatt den Smart Contract zu hacken und umzuschreiben, nutzen Flash Loan Angriffe eher die Sollbruchstelle dezentraler Börsen gnadenlos aus: Preis-Orakel. Diese versorgen DeFi-Protokolle mit Kursdaten. Beziehen die Smart Contracts aber ihre Daten nur von zentralisierten Preis-Orakeln, sind sie enorm anfällig für derartige Manipulationen. Dezentrale Preis-Orakellösungen, wie die von Chainlink, gewinnen daher immer mehr an Bedeutung.


Teilen
Die aktuellsten News kostenlos per E-Mail
Ich stimme zu, dass meine E-Mail-Adresse für den Versand des Newsletters gespeichert und verarbeitet wird. Weitere Hinweise

Gewinne eine PlayStation®5 im Kryptokompass-Abo!

Das führende Bitcoin & Blockchain Szene Magazin

In Print und Digital verfügbar

Neue Investmentchancen verstehen und ergreifen

Jeden Monat über 60 Seiten Insights, Analysen, KnowHow

Nur diesen Monat

Gewinne als Abonnent eine PlayStation®5

BTC-ACADEMY